Процесс управления доступом

Большое количество критичных для бизнеса многопользовательских

информационных систем, увеличение числа пользователей ведут к снижению
уровня информационной безопасности, росту затрат на администрирование ИТ-
систем, усложнению процедур согласования прав доступа.

Ежедневно появляются проблемы, требующие решения:

: У пользователей ИТ-систем и ИТ-услуг:

 Как запросить доступ к ИТ-системе для меня?

 Как запросить доступ к ИТ-системе для моего сотрудника?
 Кто должен утвердить доступ?
 Почему не прошло согласование?
 Когда доступ будет предоставлен?
 Почему так долго?

У ИТ-поддержки:

 Кто может запросить изменение доступа?

 Кто утверждает доступ в эту систему? На основании чего?
 Как гарантировать время выполнения запросов?
 Предоставление прав к ИТ-системам требует всё больше и больше
времени. Как обосновать очередное увеличение штата?
 Никто заранее не информирует о новых сотрудниках, перемещениях,
увольнениях, …

У отдела информационной безопасности

 Кто отвечает за доступ к этой системе?

 Кто предоставил доступ к этой системе этому пользователю, когда,
на основании чего, кто запросил, кто утвердил?
 Как избавиться от ничейных активных учётных записей?
 Сколько у нас устаревших неиспользуемых, но активных учётных записей?
 Действительно ли этим пользователям нужны такие широкие права?
 Отзыв прав доступа занимает слишком много времени

Для решения перечисленных выше проблем крупные и средние компании все

чаще используют процесс управления доступом.
 Управление доступом - это процесс, позволяющий пользователям
использовать услуги, включенные в Каталоге услуг.
Он включает следующие основные принципы и термины:
■ Под Доступом понимается уровень и объем
функциональности услуги или данные, которыми
пользователь авторизован воспользоваться.
■ Под Идентификатором понимается информация о
пользователе, которая идентифицирует его как индивид,
и которая контролирует его статус в организации. По
определению Идентификатор пользователя уникален для
каждого пользователя.
■ Под Правами (также называемыми Привилегиями)
понимаются актуальные настройки, при помощи которых
пользователю обеспечивается доступ к услуге или группе
услуг. Обычно Права или уровни доступа включают
чтение, запись, выполнение, изменение, удаление.
■ Услуги или группы Услуг. Большинство пользователей не
используют только одну услугу, и пользователи,
выполняющие сходный набор видов деятельности, обычно
пользуются сходным набором услуг. Вместо того чтобы
отдельно предоставлять каждому пользователю доступ к
каждой услуге, более эффективно одновременно
предоставлять каждому пользователю - или группе
пользователей - доступ ко всему набору услуг, которыми они
имеют право пользоваться.
■ Под Службой каталогов (Directory Services) понимается
специфический тип инструментов, который используется для управления
Доступом и Правами.

Управление доступом помогает обеспечить конфиденциальность, целостность и

доступность активов за счет того, что только авторизованные пользователи имеют
возможность получить доступ или модифицировать активы. Основным драйвером
процесса является процесс Управления информационной безопасностью, так как
именно он формирует политики и правила, которые реализуются процессом
Управления доступом.
Ценность процесса управления доступом

Управление доступом предоставляет ценность бизнесу благодаря тому, что:

 каждый сотрудник имеет уровень доступа, необходимый для выполнения

своих обязанностей;
 контролируемый доступ к активам позволит организации поддерживать
необходимый уровень конфиденциальности информации;
 уменьшение вероятности ошибочных действий при работе с данными или
использовании критичной услуги;
 аудит использования услуг и отслеживание некорректной работы с ними;
 быстрое лишение прав при возникновении необходимости;
 может понадобиться для обеспечения соответствия требованиям
регуляторов (например. SOX, COBIT).

Рассмотрим виды деятельности по Управлению доступом:

Основные деятельности процесса

■ Запрос доступа — Доступ (или его ограничение) может быть запрошен
при помощи одного из существующих механизмов, включая:
 Стандартный запрос, сделанный системой Управления кадрами .
Например, при найме нового сотрудника, увольнении, переводе
в другой отдел и т.п.
 Запрос на изменение
 Запрос на обслуживание, поданный через систему Обработки
запросов
 Путем выполнения предварительно авторизованного скрипта
или опции (например, скачивание приложения с центрального
сервера).
■ Верификация — при Управлении доступом необходимо
верифицировать каждый запрос на доступ к ИТ - услуге с двух точек
зрения:
• То, что пользователь, запрашивающий доступ, действительно
является тем, за кого он себя выдает - например, при помощи
проверки принадлежности имени пользователя и пароля
• То, что пользователь имеет законное право на использование
этой услуги - например, при помощи получения авторизации от
соответствующего (определенного в процессе) руководителя
 Первый пункт проверяется обычно с помощью предоставления имени
и пароля - они доказывают то, что пользователь является
легитимным. В некоторых организациях могут быть использованы
eToken, биометрическая аутентификация и т.п.
Вторая категория требует некоторой независимой проверки, не
связанной с запросом.
Например:
- Уведомление от Управления кадрами о том, что это новый сотрудник
и ему необходим доступ к стандартному набору услуг;
- Уведомление от Управления кадрами о том, что сотрудник получил
повышение по службе и ему необходим доступ к дополнительным
услугам;
- Подтверждение от соответствующего процессу менеджера;
- Предоставление запроса на обслуживание (с обоснованием) через
Service Desk;
-предоставление запроса на изменение через процесс Управления
изменениями;
-политика безопасности, в которой оговорено то, что пользователи
могут получить доступ к услугам, если они им необходимы.
Для всех новых услуг должны быть четко определены пользователи и
группы, которые будут иметь к ним доступ.

■ Предоставление прав — Управление доступом не решает, кто к каким

ИТ услугам имеет доступ. Управление доступом выполняет политики и
правила, определенные на стадиях Стратегии и Проектирования услуг.
Управление доступом выполняет решения, связанные с ограничением
или предоставлением доступа, а не принимает такие решения. Как
только пользователь прошел стадию верификации, Управление
доступом предоставляет пользователю права на использование
запрошенных услуг.
■ Мониторинг статуса Идентификатора — в течение времени работы
пользователей в организации их роли могут меняться,
соответственно меняются и их нужды в доступе к услугам. Примерами
таких изменений могут быть:
• изменение обязанностей - в этом случае пользователю может
понадобиться доступ к другому набору услуг или просто к
дополнительным услугам;
• повышение или понижение в должности - в этом случае
пользователю обычно необходим доступ к тому же набору
услуг, но с другими уровнями;
• перевод - в этом случае пользователю чаще всего нужен будет
 тот же набор услуг, но в другом регионе и с другими данными;
• отставка или смерть - в этом случае все доступы должны быть
немедленно аннулированы;
• выход на пенсию - в этом случае доступы либо аннулируются,
либо ограничиваются. Например, сотрудник, вышедший на
пенсию, может иметь доступ к услугам по покупке продуктов
своей компании по сниженной цене;
• дисциплинарное ограничение - временное ограничение
доступа пользователя из-за какой-то провинности;
• увольнение - в этом случае доступы должны быть немедленно
аннулированы во избежание инцидентов безопасности.

■ Регистрация и отслеживание Доступа — Управление доступом

должно не только отвечать на запросы. Этот процесс также отвечает
за то, чтобы права, предоставляемые процессом, использовались
должным образом. Поэтому функция контроля доступа должны
быть предусмотрена в рамках деятельностей мониторинга. Если
возникают какие-то нарушения, они характеризуются как
инциденты безопасности. Управление доступом принимает участие
в определении настроек систем обнаружения вторжений
■ Лишение прав или их ограничение — помимо того, что Управление
доступом отвечает за предоставление прав, процесс также отвечает и
за их аннулирование. Решение по аннулированию прав принимается
не в рамках процесса, процесс выполняет положения политик и
решения, принятые ответственными лицами. Обычно это делается
при следующих обстоятельствах: смерть, выход на пенсию,
увольнение, изменение должностных обязанностей, приведшее к
ненужности прав доступа к данной услуге, перевод или командировка
в регион, где используются другие локальные права доступа